O documento descreve um sistema de software para avaliação da maturidade da segurança da informação em organizações. O software mapeia a situação atual, compara com melhores práticas e estabelece um plano de melhoria contínua para que a organização alcance níveis mais avançados de governança e gestão da segurança da informação.
3. Sobre
a
empresa
Ministramos
diversas
palestras
e
cursos
no
Congresso
La5noamericano
de
Auditoria
de
TI,
Segurança
da
Informação
e
Governança,
consagrado
como
o
mais
importante
evento
para
os
profissionais
de
Risk
Management
e
Compliance,
no
IDC
Informa;on
Security,
VOL
DAY,
entre
outros.
Par;cipamos
a;vamente
da
elaboração
da
normas
ISO
série
27000
(Segurança
da
Informação).
Por
exemplo,
a
NBR
ISO/IEC
27001
e
27002.
Publicamos
desde
2006
ar;gos
no
maior
portal
de
TI
do
Brasil,
IDG
Now!.
A
EP75
é
fonte
de
informação
para
diversos
meios
de
comunicação.
4. Alcançando
os
obje5vos
de
Governança
SoGware
Consultoria
Treinamento
A
EP75
é
um
sistema
de
Campanhas
de
Governança
da
diagnós;co
e
avaliação
conscien;zação.
Segurança
da
de
maturidade,
Informação:
benchmarking,
Elaboração
de
Sistema
auditoria
do
Sistema
de
de
Gestão
e
Polí;ca
da
O
conteúdo
programá;co
Gestão
da
Segurança
da
Segurança
da
está
dividido
em
5
módulos,
Informação
e
Informação.
incluindo
exercícios
prá;cos
desenvolvimento
do
para
a
construção
de
plano
de
crescimento
Governança
da
um
Sistema
de
Gestão
da
do
nível
de
maturidade.
Segurança
da
Segurança
da
Informação.
Informação.
Avaliação
de
Maturidade
e
Campanhas
de
Gestão
da
Governança
da
Análise
de
Medição
de
desempenho
Conscien5zação
Segurança
Segurança
Risco
Soluções
para
Governança,
Risco
e
Compliance
5. Nossos
clientes
A
EP75
já
beneficiou
vários
clientes
através
de
assessoria
especializada
em
Governança
da
Segurança
da
Informação.
TRIBUNAL
REGIONAL
ELEITORAL
SANTA
CATARINA
6. Metra-‐framework
Pessoas,
Processos,
Tecnologia
e
Estratégias
As
organizações
estão
optando
cada
vez
mais
pelas
boas
prá;cas
de
Governança
Corpora;va.
Um
aspecto
significa;vo
é
a
inclusão
da
segurança
da
informação
como
parte
do
risco
operacional.
Nossa
s olução:
S oGware
p ara
d iagnós5co
e
avaliação
d o
n ível
d e
m aturidade
d a
s egurança
da
i nformação.
Mapeia
a
situação
atual
da
organização
1
(nível
de
maturidade);
Nível
de
Benchmarking
maturidade
Compara
com
a
situação
das
melhores
2
organizações
(benchmarking);
Estabelece
e
monitora
passo
a
passo
as
Plano
de
3
melhorias
dos
processos
rumo
à
estratégia
Auditoria
crescimento
da
organização
(plano
de
crescimento);
Compara
com
regulamentações
e
padrões
4
internacionais
(auditoria).
7. Como
usam
a
nossa
solução
Os
clientes
que
u;lizam
o
EP75
compar;lham
uma
necessidade
crí;ca
de
alcançar
os
obje;vos
e
sa;sfazer
os
requisitos
de
Governança
Corpora;va,
demonstrando
que
a
organização
possui
controles
ligados
a
segurança
da
informação
em
vigor
e
implementa
melhorias
no
Sistema
de
Gestão
da
Segurança
da
Informação.
Mo5vadores:
Como
p odemos
i den5ficar
a s
a ções
n ecessárias
p ara
a 5ngir
u m
n ível
a dequado
1
de
g erenciamento
e
c ontrole
s obre
o s
p rocessos
d e
s egurança
d a
i nformação?
O
q ue
a s
o rganizações
d o
n osso
s egmento
e stão
f azendo
e
c omo
e stamos
2
posicionados
e m
r elação
a
e ssas
e mpresas?
3
Quais
s ão
a s
b oas
p rá5cas
d e
s egurança
d a
i nformação
a ceitáveis
p ara
o
n osso
negócio
e
c omo
e stamos
p osicionados
e m
r elação
a
e ssas
p rá5cas?
4
Nossa
e mpresa
e stá
a 5ngindo
o s
r equisitos
d e
c onformidade?
8. Modelo
de
implementação
FASE
2
Iden5ficamos
os
Sócios,
Diretores,
pontos
fortes
e
FASE
3
Inves5dores
e
partes
fracos
da
segurança
Desenvolvemos
interessadas
o
plano
de
crescimento
da
Reportar
maturidade.
z
É
o
plano
de
FASE
1
ação
para
sair
da
Avaliamos
a
situação
atual
Avaliação
da
segurança
e
maturidade
para
uma
benchmarking
situação
deseja.
FASE
4
Direcionamento
de
acordo
Implementação
das
com
o
alinhamento
a5vidades
de
Monitorar
estratégico
segurança
de
acordo
com
o
alinhamento
estratégico.
Sistema
de
Gestão
da
Segurança
da
Informação
São
as
a'vidades
do
dia-‐a-‐dia.
Por
exemplo,
resposta
a
incidentes,
plano
de
con'nuidade
de
negócios,
classificação
da
informação,
polí'ca
de
segurança
da
informação,
teste
de
invasão
etc.
9. Dimensões
da
maturidade
O
EP75
usa
uma
abordagem
que
envolve
a
avaliação
da
maturidade
da
organização
baseando-‐se
em
visões
amplas
das
exigências
corpora5vas,
e
rela;vas
as
pessoas,
tecnologias
e
informações
para
o5mizar
os
negócios.
Dimensão
Descrição
Competência
técnica
Inves;mentos
regulares
em
treinamentos
de
segurança
da
informação.
Uso
de
metodologia
Adoção
de
metodologia
e
padronização
dos
procedimentos.
Informa;zação
Informa;zação
de
processos
de
segurança
que
necessitam
de
uma
considerável
quan;dade
de
informações.
Estrutura
organizacional
Forte
apoio
da
alta
administração
para
implantação
de
uma
equipe
de
segurança
da
informação.
Alinhamento
estratégico
Forte
alinhamento
das
a;vidades
de
segurança
da
informação
com
as
estratégias
da
organização.
Competência
comportamental
Possibilitam
maior
probabilidade
de
obtenção
de
sucesso
na
execução
de
determinadas
a;vidades.
10. Mapeamento
da
situação
atual
Nível
1
•
Nenhuma
inicia;va
da
organização
OU
inicia;vas
pessoais
isoladas.
Inicial
•
Resistência
à
alterações
das
prá;cas
existentes.
Nível
2
•
Conhecimento
básico
de
segurança
para
os
principais
colaboradores.
Conhecido
•
Estabelecimento
de
uma
linguagem
comum.
•
Mapeamento
dos
processos
desde
o
Planejamento
Estratégico.
Nível
3
•
Metodologia
desenvolvida,
implantada,
testada
e
em
uso.
Informa;zação
de
partes
da
metodologia
em
uso.
Padronizado
•
Estrutura
organizacional
implantada
e
em
uso.
Nível
4
•
Habilidades
avançadas
em
segurança
da
informação.
Alinhamento
com
os
negócios.
•
Metodologia
estabilizada
e
iden;ficação
e
eliminação
de
causas
Gerenciado
de
desvios
da
meta
de
segurança.
Nível
5
•
O;mização
dos
processos
com
ganhos
em
prazos,
custos
e
qualidade.
•
Grande
experiência
em
segurança
da
informação
e
capacidade
O5mizado
de
assumir
riscos
maiores.
A
empresa
vista
como
benchmark
11. Mapeamento
da
situação
atual
Em
relação
aos
treinamentos
internos
(efetuados
dentro
da
organização),
rela5vos
a
segurança
da
informação,
assinale
a
opção
mais
adequada:
A. São
realizados
cursos
internos
há
mais
de
um
ano,
abordando
as
ameaças
e
riscos
referentes
a
segurança
da
informação,
com
freqüência
e
regularidade.
B. São
realizados
cursos
internos
há
menos
de
um
ano,
abordando
as
ameaças
e
riscos
referentes
a
segurança
da
informação,
com
freqüência
e
regularidade.
C. São
realizados
cursos
internos,
abordando
as
ameaças
e
riscos
referentes
a
segurança
da
informação,
com
pouca
freqüência
e
regularidade.
D. Estão
se
iniciando
esforços
internos
para
se
ter
um
programa
de
treinamento.
E. A
organização
não
dá
importância
a
este
aspecto
e
não
realizou
nenhum
curso
interno
no
úl;mo
ano.
12. Aderências
as
dimensões
da
maturidade
São
produzidos
relatórios
demonstrando
todos
os
pontos
fortes
e
fracos
relacionados
a
cada
uma
das
6
dimensões
da
segurança
da
informação.
A
organização
consegue
iden;ficar
a
taxa
de
sa;sfação
das
necessidades
de
negócios
e
obje;vos
de
segurança
de
acordo
com
a
aderência
das
dimensões
da
maturidade.
13. Aderência
as
dimensões
da
maturidade
Esta
organização
está
no
nível
2
de
maturidade.
Porém,
atende
alguns
requisitos
do
nível
3,
4
e
5
de
maturidade.
14. Benchmarking
Nível
2,23
Concluído
o
processo
de
avaliação
do
nível
de
maturidade,
EP07
automa;camente,
você
terá
acesso
a
classificação
geral
da
1
sua
empresa
em
relação
a
todas
as
avalições.
Nível
2,10
EP12
2
Nível
1,57
Sua
empresa
3
Você
pode
comparar
a
sua
empresa
com
outras
Nível
1,49
empresas
de
diversos
segmentos.
EP01
4
Como
parte
da
nossa
metodologia,
também
são
Nível
1,10
realizadas
comparações
com
os
controles
u;lizados
por
outras
organizações,
definidas
por
você,
previamente
EP06
avaliadas
pelos
consultores,
presentes
em
nossa
base
de
5
dados.
O
processo
de
benchmarking
contempla
5
fases:
Nível
1
planejamento,
coleta
de
dados,
análise,
adaptação
e
implementação.
EP03
6
15. Benchmarking
O
obje5vo
da
organização
é
iden5ficar,
internamente,
quais
melhores
prá5cas
de
segurança
da
informação
são
u5lizadas
em
diferentes
empresas
do
mesmo
grupo.
A
avaliação
realizada
pelos
consultores,
demonstrou
que
a
organização
controladora
(localizada
em
Minas
Gerais)
está
no
nível
4
de
maturidade.
As
Nível 5 controladas
de
SP
e
RJ
estão
no
nível
2.
A
controlada
do
PR
está
Nível 4 no
nível
3.
Nível 3 A
organização
controladora
é
vista
Nível 2 como
benchmark.
Nível 1
16. Benchmarking
Financeiro
Indústria
As
informações
para
o
benchmarking
funcional
originam-‐
se
da
troca
direta
de
informações
sobre
determinados
processos
de
segurança
da
informação
da
organização.
4
Empresa
A
Nível
5
3
Empresa
B
3
Empresa
B
Nível
4
Níveis
de
Maturidade
Nível
3
Nível
2
2
Empresa
C
2
Empresa
C
Nível
1
17. Benchmarking
Aperfeiçoar
a
Gestão
da
Segurança
da
Informação
por
meio
do
aprendizado
conlnuo
Empresa
“Estrela”
Financeiro
Indústria
Entende
os
melhores
4
Empresa
A
desempenhos
do
mercado
e
determina
como
a
organização
e
seus
processos
se
3
Empresa
B
3
Empresa
B
comparam
a
eles.
2
Empresa
C
2
Empresa
C
19. Plano
de
Crescimento
da
Maturidade
O
Plano
de
Crescimento
irá
demonstrar,
com
clareza,
que
a
organização
iden5ficou
pontos
fortes
e
fracos
em
relação
a
determinados
processos
de
segurança
da
informação
e
deverá
implementar
as
melhorias
de
acordo
com
o
planejamento
estratégico,
bem
como
monitorar
o
desempenho
dos
processos.
20. Plano
de
Crescimento
da
Maturidade
O
EP75
permite
a
execução
e
controle
de
tarefas
onde
são
atribuídas
as
responsabilidades
e
determinado
como
a
melhoria
do
processo
deverá
ser
realizada,
assim
como
o
responsável
pela
implementação
e
o
prazo
para
conclusão.
21. Auditoria
da
Segurança
da
Informação
O
sopware
EP75
possibilita
avaliar
a
conformidade
e
o
desempenho
da
sua
empresa
em
relação
ao
conjunto
de
melhores
prá;cas
reunidas
na
NBR
ISO/IEC
27002
(Código
de
Prá;ca
para
a
Gestão
da
Segurança
da
Informação).
Índice
de
conformidade
com
as
melhores
prá5cas
da
NBR
ISO/IEC
27002
O
EP75
permite
que
sua
equipe
de
Não
75%
auditores
realize
auditorias
internas
do
Sistema
de
Gestão
da
Sim
25%
Segurança
da
Informação
de
maneira
eficiente,
Sim
Não
rápida
e
simples.
22. O
nosso
obje5vo
é
implementar
a
Governança
da
Segurança
da
Informação
em
empresas
comprome5das
com
o
crescimento
sustentável.